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Показана возможность моделирования процессов отказов-восстановлений последовательно-параллельных технических систем 
с использованием аппарата Е-сетей. Разработаны сети для различных типов параллельного резервирования. Учтена возмож- 
ность моделирования надежности восстанавливаемых объектов. 


К современным вычислительным системам и 
сетям связи предъявляются многогранные техни- 
ческие требования. Поэтому, для реализации слож- 
ных систем, таких как автоматизированные систе- 
мы управления, необходимо использовать тысячи 
различных элементов. Сложность аппаратуры от- 
рицательно сказывается на ее надежности. Пробле- 
ма повышения надежности настолько сложна, что 
ее решение требует компьютерного моделирования 
процессов, протекающих в системе, для того чтобы 
облегчить работу проектировщиков сложных тех- 
нических систем. 

Среди моделей систем интенсивно развивается 
аппарат Е-сетей [1], преимуществами которого яв- 
ляются его наглядность, возможность адекватного 
описания систем с параллельно функционирую- 
щими компонентами и приспособленность сете- 
вых моделей для анализа с помощью ЭВМ. 

Являясь расширением сетей Петри, Е-сети 
представляют собой графическое и математиче- 
ское средство моделирования, применимое к си- 
стемам самых различных типов. В качестве графи- 
ческого средства они могут использоваться для на- 
глядного представления моделируемой системы 
подобно блок-схемам и графам. В качестве матема- 
тического средства Е-сети позволяют составлять 
уравнения состояния и другие математические со- 
отношения, описывающие динамику систем. 

Е-сеть, как и сеть Петри, имеет структуру дву- 
дольного ориентированного графа, у которого вер- 
шины одного типа образуются позициями, а друго- 
го - переходами. Дуги в Е-сетях могут связывать 
только переход с позицией или позицию с перехо- 
дом. Входить и выходить из позиции может не бо- 
лее одной дуги. 

Существует несколько типов позиций [2]: 

• простые (могут содержать не более одной фиш- 
ки и изображаются кружком); 

• очереди (могут содержать произвольное число 
фишек и изображаются овалами); 

• разрешающие (выполняют управляющую 
функцию, определяющую направление переме- 
щения фишек; изображаются квадратом). 
Переходы в Е-сетях (изображаются отрезком 

прямой линии) могут быть ассоциированы с: 


• временной задержкой; 

• процедурой преобразования атрибутов фишек, 
проходящих через переход; 

• разрешающей процедурой, если переход имеет 
входную разрешающую позицию. 

Следует отметить, что для усиления вырази- 
тельных средств Е-сетей разрешающие процедуры, 
процедуры преобразования атрибутов, сетевых пе- 
ременных и процедуры вычисления временных за- 
держек могут иметь абсолютно произвольный вид 
и реализовывать любые вспомогательные вычисле- 
ния и действия, необходимые пользователю. 

Процесс работы Е-сети заключается в переме- 
щении фишек из входных позиций переходов в вы- 
ходные в результате срабатывания переходов. Для 
этого на каждом шаге модельного времени опреде- 
ляются переходы, готовые сработать, и при этом 
выполняются следующие действия для каждого из 
переходов: 

1. проверка активности перехода; 

2. выполнение разрешающей процедуры, если та- 
ковая имеется у данного перехода; 

3. определение длительности активной фазы пе- 
рехода с помощью процедуры вычисления вре- 
менной задержки; 

4. после завершения активной фазы перехода 
фишки перемещаются из входных позиций в 
выходные, и выполняется процедура преобра- 
зования атрибутов. 

В основе Е-сетевого моделирования лежит, 
фактически, событийно-управляемое моделирова- 
ние, что, в совокупности с методами генерации 
случайных чисел для задания времени срабатыва- 
ния переходов, дает один из наиболее распростра- 
ненных способов моделирования. Тот факт, что мо- 
дель управляется событиями, свидетельствует о 
том, что состояние системы изменяется только при 
срабатывании переходов и остается неизменным 
между срабатываниями. Так как время срабатыва- 
ния переходов является случайной величиной, то 
для получения статистически достоверных резуль- 
татов требуется соответствующее количество запу- 
сков модели. 

Необходимо также ввести некоторые определе- 
ния из теории надежности [3, 4]. 
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Надежность компонента - это вероятность то- 
го, что он будет выполнять свою функцию в тече- 
ние определенного промежутка времени при рабо- 
те в нормальных (или заданных) внешних усло- 
виях. 

Отказ - событие или нерабочее состояние, при 
котором компонент или его часть не работает или 
не может работать, как заранее определено. 

Вероятность безотказной работы - вероятность 
того, что элемент способен выполнять свою функ- 
цию в течение определенного промежутка времени 
при заданных условиях; что при заданных условиях 
работы в интервале безотказной работы системы 
отказ не возникнет. 

Говорят, что компоненты системы соединены 
последовательно, если для работы системы необхо- 
димо, чтобы каждый из них работал, т. е., отказ лю- 
бого компонента вызывает отказ системы. 

Когда надежность последовательной системы 
не удовлетворяет проектным требованиям и улуч- 
шение составных компонентов невозможно (более 
надежные части не доступны или слишком доро- 
ги), становится необходимым действовать на 
структурном уровне и использовать резервирован- 
ные конфигурации. Говорят, что конфигурация си- 
стемы резервированная (параллельная), когда по- 
явление отказа компонента не обязательно ведет к 
отказу системы. 

Существует три типа параллельного резервиро- 
вания 15): 

1. При горячем резервировании все М компонентов 
модуля находятся в рабочем состоянии, или 
« полностью нагружены» при использовании. Это 
означает, что все они стареют одновременно. 

2. При холодном резервировании используется (на- 
гружен) один компонент, а остальные (М-1) 
компонентов модуля находятся в резерве. Когда 


используемый компонент отказывает, один из 
резервных компонентов подключается с помо- 
щью механизма переключения. 

3. При недогруженном резервировании резервные 
компоненты с течением времени стареют. Это 
эквивалентно ситуации, когда резерв может 
рассматриваться как частично нагруженный, в 
отличие от полностью нагруженного при горя- 
чем резервировании и не нагруженного при хо- 
лодном. 

Системы называются восстанавливаемыми, 
если основной и резервные компоненты могут вос- 
станавливаться после отказа. 

Рассмотрим Е-сеть, построенную для компо- 
нента резервированной группы с недогруженным 
резервированием и восстановлением (рис. 1). 

Трем состояниям компонента соответствуют 
три позиции: 51 - компонент находится в резерве, 
56 - компонент в рабочем состоянии, 517 - ком- 
понент отказал и восстанавливается. Только три 
перехода обладают случайной временной задерж- 
кой: Л — время до отказа из состояния резерва, 
75 - время до отказа из рабочего состояния, Л 2 - 
время до восстановления. Временная задержка 
остальных переходов равна нулю. В начале модели- 
рования фишка может находиться в позиции 56, 
если компонент является основным, и в позиции 
51 , если он резервный. 

Рассмотрим возможные маршруты фишки, 
предполагая, что первоначально она находится в 
позиции 56 (основной компонент). 

По истечении случайного времени (, записан- 
ного в атрибуте фишки позиции 56, компонент от- 
казывает. Фишка проходит маршрут 
58-512-514-517, компонент становится на вос- 
становление, которое занимает время 1 п , связанное 
с переходом Л 2. При переходе через ТЕ на упра- 



Рис. 1 . Е-сеть для компонента параллельной системы ( недогруженное резервирование с восстановлением) 
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вляющее устройство (УУ) посылается сигнал об от- 
казе компонента. После восстановления фишка 
проходит маршрут 518-520-51 - компонент зани- 
мает место в резерве. Находясь в недогруженном 
резерве, компонент может отказать через случай- 
ное время Тогда фишка проследует маршру- 
том 51-52-516-517 и далее (после восстановле- 
ния) 518— /520-51 - снова в резерв. 

Резервный компонент может также получить от 
УУ сигнал ВКЛ на подключение в рабочее состоя- 
ние (фишка в позицию 523). Это происходит, если 
остальные компоненты резервной группы отказа- 
ли. Тогда нормальная работа перехода 71 прерыва- 
ется, и фишка из 51 переходит маршрутом 
51-52-54-56 в рабочее состояние. 

Возможна ситуация, когда работающему ком- 
поненту от УУ поступает сигнал ОСТАНОВ, пре- 
рывающий моделирование (фишка в позицию 57). 
Это происходит, если система отказала по причине 
выхода из строя какого-нибудь последовательно 
соединенного компонента. Тогда в атрибут фишки 
записывается оставшееся время моделирования, 
нормальная работа перехода 75 прерывается, и 
фишка следует маршрутом 56-58-510 и далее за- 
цикливается в позициях 513-511 до тех пор, пока 
работа системы не восстановится. Тогда фишка 
вновь занимает позицию 56 через 513-55, и моде- 
лирование продолжается. 

Аналогичная ситуация может произойти, когда 
компонент находится в резерве. Фишка проследует 
маршрутом 52-519-520 и далее цикл в позициях 
522 - 521. При восстановлении работоспособности 
системы фишка из 522 поступает вновь в 51 (ре- 
зерв). Различие между сигналами ВКЛ и ОСТА- 
НОВ для резерва определяется по атрибуту фишки 
в позиции 523. 


Если система отказала во время восстановления 
компонента, то после его восстановления фишка 
ожидает разрешения (цикл 522-521) проследовать 
в позицию 51 (резерв). 

Большой размер данной сети объясняется тем, что 
недогруженное резервирование с восстановлением яв- 
ляется наиболее общим и сложным случаем. В случаях 
горячего и холодного резервирования, а также резер- 
вирования без восстановления, сети существенно 
упрощаются и получаются путем удаления лишних 
позиций, переходов и связанных с ними дуг (рис. 2-4). 

Следует отметить, что Е-сети для горячего ре- 
зервирования совпадают с сетями для последова- 
тельно включенных компонентов. 

Важнейшей частью любой последовательно-па- 
раллельной системы является управляющее устрой- 
ство. Именно оно принимает решение о подключе- 
нии резервных компонентов и об остановке работы 
системы в целом. В каждом случае Е-сеть для УУ 
должна строиться отдельно, т. к. необходимо учи- 
тывать все возможные комбинации отказов. Приве- 
дем пример УУ для системы (рис. 5), состоящей из 
двух параллельно работающих компонентов И и б и 
последовательного компонента С (параллельные 
компоненты в недогруженном резерве, есть воз- 
можность восстановления всех трех компонентов). 

На вход УУ поступают сигналы об отказах соста- 
вляющих системы. В случае отказа последователь- 
ного компонента С, вся система отказывает. Также 
необходимо остановить работу компонентов А и б. 
Поэтому, фишка проходит маршрутом 53-54-57, и 
далее одновременно посылаются сигналы об отказе 
(522) и останове работы устройств А и б (510 и 511 
соответственно). Сигналы об останове компонен- 
тов должны прервать как работу резерва, так и рабо- 
тающего устройства, поэтому фишки поступают на 



Рис. 2. Е-сеть для компонента параллельной системы (недогруженное резервирование без восстановления) 
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б) 

Рис. 4. Е-сети для компонента параллельной системы. Г орячее резервирование: а) с восстановлением, 6) без восстановления 
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два выхода УУ: 510-514 (останов работающего 
устройства А) и 510-513-523 (останов работы ре- 
зервного устройства А). Такие же сигналы поступа- 
ют и на компонент 5(511-517 и 511-516-525). 

При отказе устройства А, фишка проходит 
маршрутом 52—54—5 6, и далее: 

• если компонент В работоспособен, то переклю- 
чить резерв в рабочее состояние (56-515-525); 

• если компонент В неработоспособен, то оста- 
нов устройства С (56-59-518-526) и отказ си- 
стемы (56-59-521-527). 

При отказе устройства В все сигналы и маршру- 
ты прохождения фишек аналогичны. 
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